音声とユニファイド コミュニケーション : Cisco Unity Connection

CME で SSL VPN のための認証問題を解決して下さい

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Secure Sockets Layer (SSL) VPN によって通信マネージャに Express (CME) IP Phone 登録を解決するために方法論を記述したものです。

著者:Cisco TAC エンジニア、Kurt Mai

前提条件

要件

Cisco はツールをキャプチャ して いる セキュリティ 認証の基本的な知識、パケットおよび Express 通信マネージャがあることを推奨します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • 通信マネージャ Express リリース 8.6
  • Cisco 7965 IP Phone リリース 8.5.3

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

証明書の問題のトラブルシューティング

インターネットの IP Phone と社内ネットワークの中の CME 間の SSL VPN を設定する 2 つのメソッドがあります。

  • CME は VPN ヘッドエンドとして機能する Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)の後ろにあります。 このシナリオでは、CME および ASA は同じ認証を共有し、IP Phone は ASA とセキュリティセットアップをネゴシエートします。
  • CME はインターネットに直接接続され、VPN ヘッドエンドとして機能します。 それは直接 IP Phone とセキュリティセットアップをネゴシエートします。 

両方のシナリオで、インターネットの IP Phone と CME 間の SSL VPN を確立することは同じようなステップで構成されています:

  1. CME は機密保護証明書を生成するか、または得ます。
  2. CME は Base64 形式の認証のハッシュを「電話が TFTP によって CME からダウンロードする config ファイルで電話に押します」。
  3. IP Phone は VPN ヘッドエンドのログインに試み、Transport Layer Security (TLS)プロトコルによって認証を受け取ります。
  4. IP Phone は認証からハッシュを得、CME から先にダウンロードしたハッシュと比較します。 ハッシュが一致する場合、電話は VPN ヘッドエンドを信頼し、それ以上の VPN ネゴシエーションを続行します。

確認

CME が IP Phone にハッシュを押したことを確認するために、セキュア電話のために生成したコンフィギュレーション ファイルをチェックして下さい。 このステップを簡素化するために、電話 1 台あたりのコンフィギュレーション ファイルを生成し、フラッシュするで保存するために CME を設定できます:

R009-3945-1(config-telephony)#cnf-file perphone
R009-3945-1(config-telephony)#cnf-file location flash:

新しい設定が生成されるようにするために、コンフィギュレーション ファイルを再び作成することを推奨します:

R009-3945-1(config-telephony)#no create cnf-files
CNF files deleted
R009-3945-1(config-telephony)#create cnf-file
Creating CNF files

フラッシュする ディスプレイの対応した コンフィギュレーション ファイルがファイル内容の端の近くで(VPNグループが設定されている ephone のために)、これを見るはずだった後:

<vpnGroup>  <enableHostIDCheck>0</enableHostIDCheck>
<addresses>
<url1>https://10.201.160.201/SSLVPNphone</url1>
</addresses>
<credentials>
<hashAlg>0</hashAlg>
<certHash1>fZ2xQHMBcWj/fSoNs5IkPbA2Pt8=</certHash1>
</credentials>
</vpnGroup>

certHash1 値は認証のハッシュです。 IP Phone が TLS セットアップの間に VPN ヘッドエンドから認証を受け取るとき、保存されたハッシュ 値と同じであると認証のハッシュが期待します。 IP Phone が「悪い認証」エラーを投げる場合、それはハッシュ 値が一致することである可能性があります。

確認するために、IP Phone と VPN ヘッドエンドの間で集められるパケットキャプチャからハッシュ 値を得るために次の手順に従って下さい:

  1. 認証が含まれている VPN ヘッドエンド デバイスから IP Phone にパケットを見つけて下さい。 それは TLS サーバHello パケットに一般的にあります。
  2. パケットコンテンツを拡張し、ヘッダを見つけて下さい:
    Secure Socket Layer > TLS V1 レコード層 > ハンドシェイク プロトコル: 認証 > 認証 > 認証
  3. 認証 ヘッダを右クリックし、.CER ファイルに値をエクスポートして下さい:

     


  4. .CER ファイルを開き、Details タブに行き、Thumbprint を選択し、値を選択して下さい。 値は十六進形式のハッシュです:

  5. 次に、あらゆるオンライン Hex-to-Base64 変換 ツールを使用して hex から Base64 にハッシュを変換します。 変換後の値は IP 電話のコンフィギュレーション ファイルのハッシュ 値とそれらが一致する場合比較することができます、使用される何が SSL のために VPN ヘッドエンドによって IP Phone によって受け取ったハッシュが別の認証からよりあることをそれは意味します。

関連情報

>

Document ID: 116638